Internet of Things: i rischi per la Sicurezza Informatica e la Privacy

In uno scenario in cui il mercato degli smart objects è in crescita, il rapporto tra Internet delle cose, sicurezza informatica e privacy si fa sempre più controverso.

Quali sono i rischi di sicurezza collegati ai dispositivi IoT?

Alla base dell'Internet of Things vi sono gli oggetti intelligenti, dispositivi connessi alla rete con diverse proprietà (self-awareness, interazione con l'ambiente circostante, elaborazione dati e appunto connessione). Tali proprietà dovrebbero tradursi in opportunità, ma anche in rischi che implicano la sicurezza.

L'equazione è semplice: aumentando il numero di dispositivi connessi alla rete aumenta anche il numero delle vulnerabilità e dei possibili punti di accesso per un eventuale attacco al sistema informativo aziendale. Il fatto stesso di essere oggetti connessi alla rete, rende i dispositivi IoT vulnerabili alle minacce cyber, come dimostrano anche i numerosi attacchi hacker subiti da imprese e privati negli ultimi anni.

Ma come si può conciliare l’innovazione con la sicurezza degli utenti? La normativa europea si sta evolvendo in tal senso, con l’obiettivo di tutelare sempre di più i dati di imprese e consumatori e far sì che sul mercato vengano emessi soltanto prodotti conformi agli standard comunitari.

IoT e Sicurezza Informatica

Iniziamo dalla Cyber Security: non si tratta di un tema legato solo ai dati raccolti, che potrebbero essere intercettati o manomessi da terze parti, ma anche della sicurezza “fisica”, legata alla possibilità che malintenzionati possano riuscire a impartire comandi agli oggetti da remoto (ad esempio l’apertura della porta di casa o la disattivazione del sistema di allarme).

Il mercato dei dispositivi IoT è finito nel mirino degli hacker da alcuni anni a questa parte, di pari passo con la crescita dell’utilizzo da parte di consumatori e aziende: secondo una recente indagine realizzata da Kaspersky Lab, nel corso della prima metà del 2018 il numero di attacchi indirizzati ai dispositivi IoT è stato più di tre volte superiore al dato registrato in tutto il 2017. Non solo: già oggi il 67% dei consumatori italiani dichiara di essere preoccupato per i rischi di accesso/controllo degli oggetti connessi da parte di malintenzionati.

Il Cyber Security Act

Per far fronte ai rischi della sicurezza informatica in Europa, il 27 giugno 2019 è entrato in vigore il “Cybersecurity Act”, ossia il regolamento che assegna all’agenzia comunitaria per la sicurezza informatica (ENISA) nuovi compiti e risorse per proteggere gli utenti dagli attacchi hacker, anche grazie ad una certificazione per gli oggetti connessi.

Inoltre, il comitato tecnico per la cyber security (ETSI) ha rilasciato lo standard per la sicurezza informatica da applicare al mercato IoT, con 13 regole per garantire la sicurezza nei dispositivi connessi, renderli conformi al GDPR e fornire linee guida per certificazioni future nel settore.

La sicurezza dei dati negli "oggetti intelligenti"

In generale, quando si parla di sicurezza dei dati ci si riferisce sempre a un tema rilevante e al centro dell’attenzione da parte di consumatori e imprese. Se si guarda a quanto già avvenuto in passato, si osserva che tutte le grandi evoluzioni tecnologiche (non solo l’Internet of Things) hanno registrato un percorso caratterizzato da errori, vulnerabilità e imprevisti nei confronti della Cyber Security. Ciò è accaduto ad esempio quando sono state sviluppate le prime pagine web o le prime App per smartphone, che hanno fatto registrare diverse falle e vulnerabilità in termini di sicurezza non considerate dagli sviluppatori in fase di progettazione.

E oggi l’Internet of Things non fa certo eccezione, con tanti oggetti smart che vengono lanciati velocemente sul mercato, senza che vi sia la dovuta attenzione da parte dei produttori verso potenziali vulnerabilità insite nei device stessi. È quindi importate saper risolvere prima il problema della sicurezza dei dati e poi realizzare i prodotti, con un approccio che guardi alla sicurezza già in fase di progettazione degli stessi (“Security by Design”).

IoT e Privacy

L’altro aspetto chiave, dicevamo, è quello della Privacy. Se fino a tre anni fa solo il 27% dei consumatori era restio a condividere i propri dati personali (soprattutto a causa del rischio che le finalità di utilizzo fossero differenti da quelle dichiarate), negli ultimi anni tale percentuale è aumentata in modo considerevole, raggiungendo il 44% nel 2017 e il 51% a inizio 2018.

Gli enti regolatori hanno iniziato da tempo a interessarsi dei risvolti legati alla gestione dei dati raccolti dai dispositivi IoT: i Regolamento europeo UE 679/2016 in materia di protezione dei dati personali (GDPR - General Data Protection Regulation), valido dal 25 maggio 2018, è la normativa di riferimento a cui tutte le organizzazioni si stanno adeguando e che ha un impatto rilevante anche nel vasto panorama dell’Internet of Things. Per poter comprendere la portata dei cambiamenti introdotti dalla normativa è necessario sottolineare il cambio di filosofia, con il passaggio a un approccio di “responsabilizzazione” del Titolare (la cosiddetta accountability).

L'impatto del GDPR sull'Internet of Things

Il GDPR, infatti, prevede che il Titolare, già dalle fasi preliminari del trattamento, assuma un ruolo proattivo nella scelta e nell’adozione delle misure tecniche e organizzative, e in generale nella definizione delle modalità di adeguamento; al contempo, egli deve essere sempre in grado di dimostrare la ratio alla base delle scelte effettuate e la propria compliance al Regolamento europeo, considerando il tema della protezione dei dati già in fase di progettazione (“Privacy by Design”) e non a seguito della vendita di oggetti smart.

Facendo il parallelo con altre innovazioni digitali, in primis lo smartphone, emerge come questo problema sia spesso dovuto al fatto che i consumatori non riescono ancora a cogliere il vantaggio derivante dalla condivisione di tali informazioni. La proposta di servizi il cui valore sia chiaramente percepito dai clienti (come ad esempio il pronto intervento di un’azienda di vigilanza in caso di tentativo di furto, oppure il supporto concreto a ridurre i propri consumi energetici) è in molti casi una leva importante per superare la reticenza degli utenti.